Sichere Java-Webanwendungen, Teil 2: Cross-Site Request Forgery
Seite 4: Fazit
Auch beim Schutz vor Cross-Site Request Forgery gehen viele Webframeworks mittlerweile den richtigen Weg und integrieren einen weitgehend automatischen Schutz. Der Entwickler muss so deutlich weniger fĂĽr sichere Webanwendungen tun. Fehler oder schlichtes Vergessen des CSRF-Schutzes werden unwahrscheinlicher. Aber selbst mit automatischen MaĂźnahmen muss man sich als Entwickler der Gefahr von CSRF stets bewusst sein, und den von Frameworks bereitgestellten Schutz kritisch prĂĽfen.
Die vollständigen Sourcen der im Artikel gezeigten Codebeispiele finden sich im GitHub-Repository in den Projekten CSRF und CSRF-spring-security.
Dominik Schadow
arbeitet als Senior Consultant beim IT-Beratungsunternehmen bridgingIT. Er ist auf die sichere Entwicklung von Java-Enterprise-Applikationen spezialisiert und Autor des Buchs "Java-Web-Security: Sichere Webanwendungen mit Java entwickeln".
(jul)
